管理者装置、ユーザ装置、それらを用いた通信方法、それらのプログラム
【課題】通信方法の安全性解析の自動化を図る。
【解決手段】ユーザ装置が、送信する情報を乱数成分で撹乱し、管理者装置に送信し、管理者装置が、撹乱情報に管理者装置のブラインド署名を付し、署名を付することで、管理者第2署名撹乱情報を生成し、ユーザ装置が、管理者第2署名撹乱情報の管理者装置の署名に基づいて、ユーザ装置と管理者装置との間に介在する攻撃者装置が、攻撃された否かを判定し、攻撃されていないと、管理者第1署名撹乱情報の乱数成分の影響を除去して情報に対する管理者装置の署名を得て、攻撃者装置に攻撃されたと判定されると、処理を中止し、情報と当該情報に対する管理者装置の署名を検証者装置に送信し、検証者装置が、管理者装置の署名が管理者装置にされたものか否かを検証して、否と検証すると情報を廃棄する。
【解決手段】ユーザ装置が、送信する情報を乱数成分で撹乱し、管理者装置に送信し、管理者装置が、撹乱情報に管理者装置のブラインド署名を付し、署名を付することで、管理者第2署名撹乱情報を生成し、ユーザ装置が、管理者第2署名撹乱情報の管理者装置の署名に基づいて、ユーザ装置と管理者装置との間に介在する攻撃者装置が、攻撃された否かを判定し、攻撃されていないと、管理者第1署名撹乱情報の乱数成分の影響を除去して情報に対する管理者装置の署名を得て、攻撃者装置に攻撃されたと判定されると、処理を中止し、情報と当該情報に対する管理者装置の署名を検証者装置に送信し、検証者装置が、管理者装置の署名が管理者装置にされたものか否かを検証して、否と検証すると情報を廃棄する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ユーザ装置が送信したい情報を検証者装置に送信する際に用いる管理者装置、ユーザ装置、それらを用いた通信方法、それらのプログラムに関する。
【背景技術】
【0002】
図1に、従来の通信方法について示す。この従来の通信方法は、ユーザ装置が、管理者装置のブラインド署名を付した情報を管理者装置に送信するものである。この通信方法は、ユーザ装置2、管理者装置4、検証者装置6、で構成される。ユーザ装置が複数あるが、以下の説明では、ユーザ装置は1つであると仮定して説明する。また以下に、用いる関数等について説明する。
UdE=AU(E):ユーザ装置2の情報Eについての署名の作成関数
SbE=Bb(E):管理者装置4の情報Eについてのブラインド署名の作成関数
E’=C(E、r):ユーザ装置2の情報Eの乱数rによる撹乱関数(撹乱情報E’の生成)
D(r、F):署名Fから乱数rの成分を除去する乱数成分除去関数
sign(Udm、m):情報mにディジタル署名Udmを付加したディジタル署名付き情報
sign(Ubm、m):情報mにブラインド署名Ubmを付加したブラインド署名付き情報
【0003】
ユーザ装置2は、送信する情報mを乱数rで撹乱して撹乱情報m’を生成し、管理者装置4に送信する。(m’=C(m、r))。必要に応じて、撹乱情報m’についての署名Udm’(例えば、ディジタル署名)を生成し(Udm’=AU(m’))、撹乱情報m’にUdm’を付加して、ディジタル書名付き情報sign(Udm’、m’)を生成し、管理者装置4に送信してもよい。以下の説明では、ユーザ装置2が、撹乱情報m’にディジタル署名Udm’を付加して管理者装置4に送信するとして説明する。
【0004】
管理者装置4は、撹乱情報m’を受信すると、撹乱情報m’についてブラインド署名Sbm’を生成する(Sbm’=Bb(m’))。そして、撹乱情報m’にブラインド署名Sbm’を付して(sign(Ubm’、m’))、ユーザ装置2に返信する。
ユーザ装置2は、受信したブラインド署名付き撹乱情報sign(Ubm’、m’)の乱数成分を除去して(Sb=D(sign(Ubm’、m’)、r))、管理者装置4の情報mに対するブラインド署名Ubmを得ることができる。そして、検証者装置6に情報mとブラインド署名Ubmを送信する。こうすることで、検証者装置6は、匿名性のある署名(ブラインド署名Sbm)と情報mを得ることができる。この通信方法を電子投票に適用した例が特許文献1に記載されている。そして、ブラインド署名については非特許文献1に記載されている。
【0005】
次に、プロトコルの安全性(プロトコルに従った通信の安全性)を解析する従来の方法として、記号的解析と暗号学的解析がある。以下、詳細に記号的解析と暗号学的解析を説明する。
記号的解析
記号的解析は、送受信される情報を暗号化や凍結などの操作を表す記号を組み合わせた記号列とみなし、暗号スキームなどが理想的な強度を持つと仮定して解析を行う解析方法である。記号的解析は自動化に適している。この記号的解析で検査できるプロトコルは、通信におけるデータの正当性(プロトコルに従い、正しく構成されたデータであり、記号列で表現されるデータであること)を参加者が確認できるものに限られる。記号的解析では、以下の(1)〜(3)の動作を行う攻撃者を考え、この攻撃者によって、攻撃が成功する場合が無いことを示す。
(1)参加者が送信した情報を保存する。
(2)保存した情報から新しい情報を作り、保存する。
(3)保存した情報を任意の参加者に送信する。
【0006】
ここで(2)の動作では、攻撃者は以下の(4)(5)のルールに従い、情報を作る(情報を改ざんする)。
(4)乱数、参加者の名前、鍵などの基本的な情報
(5)(4)に示した情報に凍結、暗号化、電子署名、などの操作を(繰り返し)行って得られる情報、に限られる。
【0007】
攻撃者はメッセージの連結などのほか、暗号化などの暗号アルゴリズムのみを利用できる。具体的には以下の(6)〜(12)のルールを用いるのが一般的である。
(6)攻撃者は参加者の名前を知っている。
(7)攻撃者は乱数Rを作ることができる。
(8)情報M1、M2の連結{M1、M2}を保存しているならば、M1およびM2を作ることができる。
(9)情報M1、M2を保存しているならば、その連結{M1、M2}を作ることができる。
(10)情報Mを保存しているならば、その公開鍵暗号による暗号化crypt(K、M)を作ることができる。
(11)暗号化crypt(K、M)および公開鍵Kに対応する秘密鍵K’を保存しているならば、情報Mを造ることができる
(12)情報Mおよび秘密鍵K’を保存しているならば、電子署名sign(K’、M)を作ることができる。
暗号学的解析
一方、暗号学的解析では、多項式時間の計算能力を持つ攻撃者を考え、この攻撃者によって攻撃が成功する確率が無視できるくらい小さいことを示す。暗号学的解析は暗号研究の専門家が注意深く解析を行う必要があり、自動化解析には適していない。
【0008】
次に、暗号学的解析と記号的解析を比較して説明すると、上述のように、記号的解析は自動化解析に適しており、暗号学的解析は自動化解析には適していない。一方、暗号学的解析における攻撃者(以下、暗号学的攻撃者という)が加算、乗算などの整数演算からビットの反転など様々な演算を用いて情報を構成し送信(つまり、攻撃)、できるのに対し、記号的解析における攻撃者(以下、記号的攻撃者という)は、(6)〜(12)のルールのみに従い、情報を構成する。このため、一般的に、記号的解析により安全とされるが、暗号学的解析により安全とされない場合がある。記号的解析、暗号学的解析については非特許文献2に記載されている。
【非特許文献1】“Blind Signatures for Untraceable Payments,”D. Chaum, Advances in Cryptology Proceedings of Crypto 82, D.Chaum, R.L. Rivest, & A.T. Sherman (Eds.), Plenum, pp. 199-203.
【非特許文献2】Veronique Cortier and Bogdan Warinsci,"Computationally Sound,Automated Proofs for Security Protocols" April,2005.
【特許文献1】特許第3381858号
【発明の開示】
【発明が解決しようとする課題】
【0009】
ところで、非特許文献2には以下の定理(A)が記されている。
定理(A)「(13)参加者が記号的解析による攻撃者が構成できないような情報を無視できること。(14)記号的解析により安全であること。(13)、(14)が成り立てば、暗号学的解析によっても安全である。」
【0010】
図1記載の通信方法であれば、定理(A)の(13)を満たさない。なぜなら、例えば、図2記載のように、攻撃者装置10が管理者装置4とユーザ装置2の間に介在しており、ブラインド署名スキームとしてFDH−RSA署名を利用した場合、攻撃者装置10が、ユーザ装置2よりのsign(Udm’、m’)中のm’の平方根をとってXとすれば、管理者装置4よりのsign(Sbm’、X)からsign(Sbm’、m’)を構成できる。このような攻撃は、暗号学的攻撃者には可能であるが、平方根をとるという演算はブラインド署名スキームの演算(上記(1)〜(5))に含まれないため、記号的攻撃者には行うことができない。
【0011】
従って、この通信方法の安全性を記号的解析によって自動的に解析しても、そこから暗号学的解析による安全性を導くことができない。このため、暗号学的解析による安全性を調べるためには、暗号の専門家による注意深い解析が必要となる。
【課題を解決するための手段】
【0012】
この発明の通信方法は、ユーザ装置が、管理者装置のブラインド署名を付した送信情報を検証者装置に送信する通信方法である。ユーザ装置の撹乱部が、送信情報を乱数成分で撹乱することで、撹乱情報を生成し、ユーザ装置の送信部が、撹乱情報を管理者装置に送信する。管理者装置のブラインド署名部が、撹乱情報に管理者装置のブラインド署名を付することで、管理者第1署名撹乱情報を生成する。管理者装置の署名部が、管理者第1署名撹乱情報に管理者装置の署名を付することで、管理者第2署名撹乱情報を生成する。ユーザ装置の検証部が、管理者第2署名撹乱情報の管理者装置の署名に基づいて、ユーザ装置と管理者装置との間に介在する攻撃者装置が、記号的攻撃者がなし得ない攻撃を行った可能性があるか否かを判定する。ユーザ装置の乱数成分除去部が、攻撃者装置に攻撃されていないと判定されると、管理者第1署名撹乱情報の乱数成分の影響を除去して送信情報に対する管理者装置の署名を得て、攻撃者装置に攻撃されたと判定されると、処理を中止する。ユーザ装置の送信部が、送信情報と当該送信情報に対する管理者装置の署名を検証者装置に送信する。検証者装置の検証部が、受信した管理者装置の署名が管理者装置にされたものか否かを検証して、否と検証すると送信情報を廃棄する。攻撃者装置の攻撃は、ユーザ装置よりの撹乱情報を改ざんすることで改ざん撹乱情報を生成し、当該改ざん撹乱情報を管理者装置に送信し、当該改ざん撹乱情報に管理者装置のブラインド署名を付することで生成された改ざん管理者第1署名撹乱情報を含む情報を管理者装置から受信し、当該改ざん管理者第1署名撹乱情報中の改ざん撹乱情報を撹乱情報に変換し、改ざん撹乱情報に対する管理者装置のブラインド署名を撹乱情報に対する管理者装置のブラインド署名に変換して管理者第1署名撹乱情報を生成し、当該管理者第1署名撹乱情報を含む情報をユーザ装置に送信する攻撃である。
【発明の効果】
【0013】
上記の構成のように、管理者装置が撹乱情報にブラインド署名を付し、更に、署名を付することで、例えばユーザ装置と管理者装置との間に介在する攻撃者装置の攻撃を検出できるだけでなく、記号的解析によって暗号学的解析による安全性を導くことができ、通信方法の安全性解析の自動化が可能となった。
【発明を実施するための最良の形態】
【0014】
以下に、発明を実施するための最良の形態を示す。なお、同じ機能を持つ構成部や同じ処理を行う過程には同じ番号を付し、重複説明を省略する。
【実施例1】
【0015】
図3に、実施例1のユーザ装置100、管理者装置200、検証者装置300による通信方法を簡略化して示し、図4に、ユーザ装置100、管理者装置200、検証者装置300の機能構成例を示し、図5に処理フローを示す。ユーザ装置100は、撹乱部102、署名部104、送信部106、受信部108、検証部110、乱数成分除去部112で構成されている。管理者装置200は、受信部202、検証部204、ブラインド署名部206、署名部208、送信部210、とで構成されている。検証者装置300は、受信部302、検証部304、とで構成されている。
【0016】
まず、撹乱部102が、送信する情報mを乱数rの成分で撹乱することで、撹乱情報m’を生成する(m’=C(m、r)、ステップS2)。次に、署名部104が、撹乱情報m’についてユーザ装置100のディジタル署名Udm’を生成し(Udm’=AU(m’))、ディジタル署名Udm’を撹乱情報m’に付加して(sign(Udm’、m’)、ステップS4)、送信部106により管理者装置200に送信する。署名部104を備えず、撹乱部102よりの撹乱情報m’を管理者装置200に送信しても良い。以下の説明では、ユーザ装置100は、ディジタル署名を撹乱情報m’に付して、送信した場合を説明する。
【0017】
管理者装置200の受信部202が、ディジタル署名付き撹乱情報sign(Udm’、m’)を受信すると、検証部204は、ディジタル署名Udm’の正当性を検証する(ステップS6)。検証部204が正当でないと検証すると、処理は終了する。検証部204が正当であると検証すると、ブラインド署名部206が、撹乱情報m’に管理者装置200のブラインド署名Sbm’を生成し(Sbm’=Bb(m’))、ブラインド署名Sbm’を撹乱情報m’に付加することで、管理者第1署名撹乱情報sign(Sbm’、m’)を生成する(ステップS8)。そして、署名部208が、管理者第1署名撹乱情報sign(Sbm’、m’)に対して、管理者装置の署名(例えば、ディジタル署名)を生成する。ここで管理者装置200の情報Eに対するディジタル署名SdEの生成の式をSdE=Bd(E)とすると、管理者第1署名撹乱情報sign(Sbm’、m’)に対しての管理者装置のディジタル署名Sd(sign(Sbm’、m’))は以下のように生成される。
Sd(sign(Sbm’、m’))=Bd(sign(Sbm’、m’))
ディジタル署名Sd(sign(Sbm’、m’))は、管理者第1署名撹乱情報sign(Sbm’、m’)に付されることで、管理者第2署名撹乱情報sign(Sd(sign(Sbm’、m’))、sign(Sbm’、m’))が生成され(ステップS10)、ユーザ装置100に返信される。
【0018】
ユーザ装置100の受信部108が管理者第2署名撹乱情報sign(Sd(sign(Sbm’、m’))、sign(Sb、m’)を受信すると、検証部110がディジタル署名Sd(sign(Sbm’、m’))に基づいて、正当か否かを検証する。
ここで、図2に示したように、暗号的攻撃者の攻撃者装置10が管理者装置4とユーザ装置2との間に介在する場合を考える。攻撃者装置10の攻撃は以下の通りである。まず、ユーザ装置100よりの撹乱情報m’を改ざんする(例えば、平方根をとる)ことで改ざん撹乱情報Xを生成し、当該改ざん撹乱情報Xを管理者装置200に送信する。そして、攻撃者装置10は、当該改ざん撹乱情報Xに管理者装置200のブラインド署名Sbxを付することで生成された改ざん管理者第1署名撹乱情報sign(Sbx、X)を含む情報を管理者装置200から受信する。そして、攻撃者装置10は、受信した当該改ざん管理者第1署名撹乱情報sign(Sbx、X)中の改ざん撹乱情報Xを撹乱情報m’に変換し、改ざん撹乱情報Xに対する管理者装置200のブラインド署名Sbxを撹乱情報m’に対する管理者装置200のブラインド署名Sbm’に変換して管理者第1署名撹乱情報sign(Sbm’、m’)を生成し、当該管理者第1署名撹乱情報sign(Sbm’、m’)を含む情報をユーザ装置100に送信する。
【0019】
検証部110が正当でないと検証すれば、攻撃者装置10が攻撃したということである。従って、検証部110の検証は、ユーザ装置100と管理者装置200との間に介在する攻撃者装置10に攻撃された否かを判定するものであるといえる(ステップS12)。同時に、攻撃者装置10の攻撃が記号的攻撃者が成し得ない攻撃を行った可能性があるか否かを判定するともいえる。そして、攻撃者装置10に攻撃されたと判定すれば、その後の処理を終了させる。検証部110がこのような判定を行えば、記号的解析による攻撃者が構成できないような情報を無視できるので、上記定理(A)の(13)を満たし、結果として、定理(A)を適用できる。従って、暗号的攻撃者を考慮したとしても、安全性解析を自動化することができることになる。
【0020】
検証部110の検証により、攻撃者装置に攻撃されていないと検証されると、乱数成分除去部112が、管理者第1署名撹乱情報sign(Sbm’、m’)から乱数rの成分を除去して、情報mに対する署名Sbmを得る(ステップS14)。そして、情報mと情報mに対する管理者装置200の署名Sbmを検証者装置300に送信する。
検証者装置300の受信部302が、情報mと署名Sbmを受信すると、検証部304が、署名Sbmが、管理者装置200の署名であるか否かを検証し(ステップS16)、検証が正当であれば、検証者装置300は、情報mを取得する(ステップS18)。検証が失当であれば、情報mを破棄する。
【0021】
従来の通信方法(図1参照)とこの実施例1の通信方法(図3参照)を比較すると、従来では管理者装置4がsign(Sbm’、m’)にディジタル署名を付していないが、この実施例では管理者装置4がsign(Sbm’、m’)にディジタル署名を付しているだけの差しかないように思える。しかし、管理者装置4がディジタル署名を付することで、ディジタル署名付加の効果(ユーザ装置100と管理者装置200との間での改ざん防止)だけでなく、上記定理(A)を適用できるので、記号的解析によって暗号学的解析を導くことができるようになり、方法の安全性解析を自動化ができるという有利な効果を得ることができる。
【実施例2】
【0022】
この実施例2では、攻撃者装置10が、図2のような攻撃を行う場合は、管理者装置200よりのsign(Sbm’、X)と、攻撃者装置10よりのsign(Sbm’、m’)とを比較すると、大きく変わっている可能性が高い。この場合は、管理者第1署名撹乱情報sign(Sbm’、m’)全体についてディジタル署名を付さなくても、sign(Sbm’、m’)の任意の一部(以下、「署名対象ビット」という。)だけについてディジタル署名を生成し、付加させればよい。このようにすれば、ディジタル署名生成の計算コストが削減される。この場合に、管理者装置200は、ユーザ装置100に署名対象ビットの情報(ディジタル署名を生成したビット位置)も送信しなければならない。署名対象ビットに関する情報の送信方法については、公知の技術である公開鍵暗号方式やワンタイムパッドを用いれば良い。また、署名対象ビットのビット数が1の場合は、この方法であると、攻撃を検証できる確率は50%になるが、署名対象ビットのビット数が大きくなるにつれて、攻撃を検証できる確率はあがっていく。従って、署名対象ビットのビット数が2以上の場合は、ビット数が1の場合と比較して、より高確率で攻撃されたか否かを検証できる。
【実施例3】
【0023】
図2に示した攻撃者装置10の攻撃方法では、上述のように、管理者装置200よりのsign(Sb、X)と、攻撃者装置10よりのsign(Sb、m’)とが大きく変わっている場合がある。実施例2では、管理者装置200の署名部208は、管理者第1署名撹乱情報sign(Sb、m’)の署名対象ビットについて、署名を生成する構成を説明したが、実施例3では、管理者第1署名撹乱情報sign(Sb、m’)が有する有効ビット数(以下で説明する)について署名を生成し、付加する。
図6に示すように、例えば、管理者第1署名撹乱情報sign(Sb、m’)が128ビットである場合に、この128ビット中で、最下位ビット0ビット目から1が位置する最上位ビット目(図6の例では116ビット)までのビット数(以下、有効ビット数という)について、署名を生成し、管理者第1署名撹乱情報sign(Sb、m’)に付加する。このようにすることで、管理者第1署名撹乱情報sign(Sb、m’)の署名作成の計算コストを削減できる。
【0024】
[変形例]
この発明の通信方法の適用例として様々な例が考えられるが、この変形例では、電子投票にこの発明の通信方法を適用した場合を説明する。ユーザ装置100を投票者が使用する投票者装置とし、管理者装置200を選挙管理人が使用する選挙管理者装置とし、検証者装置300を、投票数を集計する集計者が使用する集計者装置とする。そして、情報mを投票内容とする。このようにすれば、本発明の通信方法を電子投票プロトコルとして実施できる。詳細は上記特許文献1を参照されたい。このように電子投票プロトコルとして適用しても、記号的解析によって暗号学的解析を導くことができるようになり、プロトコルの安全性解析を自動化ができるという有利な効果を得ることができる。
【0025】
また、図4記載のように、ユーザ装置100がメモリ112、制御部114を具備し、管理者装置200がメモリ212、制御部214を具備し、検証者装置300がメモリ306、制御部308を具備し、各部の処理を制御部が制御し、各部で生成された情報をメモリに一旦保存させ、処理を行っても良い。また、ユーザ装置100、管理者装置200、検証者装置300における処理機能をコンピュータによって実現する場合、これらの装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、これらの装置における処理機能がコンピュータ上で実現される。
【図面の簡単な説明】
【0026】
【図1】従来の通信方法を簡略化して示した図。
【図2】通信方法に攻撃者装置が介在している場合を示した図。
【図3】実施例1の通信方法を簡略化して示した図。
【図4】ユーザ装置などの機能構成例を示した図。
【図5】実施例1の通信方法の主な処理の流れを示した図。
【図6】有効ビットを説明するための図。
【技術分野】
【0001】
この発明は、ユーザ装置が送信したい情報を検証者装置に送信する際に用いる管理者装置、ユーザ装置、それらを用いた通信方法、それらのプログラムに関する。
【背景技術】
【0002】
図1に、従来の通信方法について示す。この従来の通信方法は、ユーザ装置が、管理者装置のブラインド署名を付した情報を管理者装置に送信するものである。この通信方法は、ユーザ装置2、管理者装置4、検証者装置6、で構成される。ユーザ装置が複数あるが、以下の説明では、ユーザ装置は1つであると仮定して説明する。また以下に、用いる関数等について説明する。
UdE=AU(E):ユーザ装置2の情報Eについての署名の作成関数
SbE=Bb(E):管理者装置4の情報Eについてのブラインド署名の作成関数
E’=C(E、r):ユーザ装置2の情報Eの乱数rによる撹乱関数(撹乱情報E’の生成)
D(r、F):署名Fから乱数rの成分を除去する乱数成分除去関数
sign(Udm、m):情報mにディジタル署名Udmを付加したディジタル署名付き情報
sign(Ubm、m):情報mにブラインド署名Ubmを付加したブラインド署名付き情報
【0003】
ユーザ装置2は、送信する情報mを乱数rで撹乱して撹乱情報m’を生成し、管理者装置4に送信する。(m’=C(m、r))。必要に応じて、撹乱情報m’についての署名Udm’(例えば、ディジタル署名)を生成し(Udm’=AU(m’))、撹乱情報m’にUdm’を付加して、ディジタル書名付き情報sign(Udm’、m’)を生成し、管理者装置4に送信してもよい。以下の説明では、ユーザ装置2が、撹乱情報m’にディジタル署名Udm’を付加して管理者装置4に送信するとして説明する。
【0004】
管理者装置4は、撹乱情報m’を受信すると、撹乱情報m’についてブラインド署名Sbm’を生成する(Sbm’=Bb(m’))。そして、撹乱情報m’にブラインド署名Sbm’を付して(sign(Ubm’、m’))、ユーザ装置2に返信する。
ユーザ装置2は、受信したブラインド署名付き撹乱情報sign(Ubm’、m’)の乱数成分を除去して(Sb=D(sign(Ubm’、m’)、r))、管理者装置4の情報mに対するブラインド署名Ubmを得ることができる。そして、検証者装置6に情報mとブラインド署名Ubmを送信する。こうすることで、検証者装置6は、匿名性のある署名(ブラインド署名Sbm)と情報mを得ることができる。この通信方法を電子投票に適用した例が特許文献1に記載されている。そして、ブラインド署名については非特許文献1に記載されている。
【0005】
次に、プロトコルの安全性(プロトコルに従った通信の安全性)を解析する従来の方法として、記号的解析と暗号学的解析がある。以下、詳細に記号的解析と暗号学的解析を説明する。
記号的解析
記号的解析は、送受信される情報を暗号化や凍結などの操作を表す記号を組み合わせた記号列とみなし、暗号スキームなどが理想的な強度を持つと仮定して解析を行う解析方法である。記号的解析は自動化に適している。この記号的解析で検査できるプロトコルは、通信におけるデータの正当性(プロトコルに従い、正しく構成されたデータであり、記号列で表現されるデータであること)を参加者が確認できるものに限られる。記号的解析では、以下の(1)〜(3)の動作を行う攻撃者を考え、この攻撃者によって、攻撃が成功する場合が無いことを示す。
(1)参加者が送信した情報を保存する。
(2)保存した情報から新しい情報を作り、保存する。
(3)保存した情報を任意の参加者に送信する。
【0006】
ここで(2)の動作では、攻撃者は以下の(4)(5)のルールに従い、情報を作る(情報を改ざんする)。
(4)乱数、参加者の名前、鍵などの基本的な情報
(5)(4)に示した情報に凍結、暗号化、電子署名、などの操作を(繰り返し)行って得られる情報、に限られる。
【0007】
攻撃者はメッセージの連結などのほか、暗号化などの暗号アルゴリズムのみを利用できる。具体的には以下の(6)〜(12)のルールを用いるのが一般的である。
(6)攻撃者は参加者の名前を知っている。
(7)攻撃者は乱数Rを作ることができる。
(8)情報M1、M2の連結{M1、M2}を保存しているならば、M1およびM2を作ることができる。
(9)情報M1、M2を保存しているならば、その連結{M1、M2}を作ることができる。
(10)情報Mを保存しているならば、その公開鍵暗号による暗号化crypt(K、M)を作ることができる。
(11)暗号化crypt(K、M)および公開鍵Kに対応する秘密鍵K’を保存しているならば、情報Mを造ることができる
(12)情報Mおよび秘密鍵K’を保存しているならば、電子署名sign(K’、M)を作ることができる。
暗号学的解析
一方、暗号学的解析では、多項式時間の計算能力を持つ攻撃者を考え、この攻撃者によって攻撃が成功する確率が無視できるくらい小さいことを示す。暗号学的解析は暗号研究の専門家が注意深く解析を行う必要があり、自動化解析には適していない。
【0008】
次に、暗号学的解析と記号的解析を比較して説明すると、上述のように、記号的解析は自動化解析に適しており、暗号学的解析は自動化解析には適していない。一方、暗号学的解析における攻撃者(以下、暗号学的攻撃者という)が加算、乗算などの整数演算からビットの反転など様々な演算を用いて情報を構成し送信(つまり、攻撃)、できるのに対し、記号的解析における攻撃者(以下、記号的攻撃者という)は、(6)〜(12)のルールのみに従い、情報を構成する。このため、一般的に、記号的解析により安全とされるが、暗号学的解析により安全とされない場合がある。記号的解析、暗号学的解析については非特許文献2に記載されている。
【非特許文献1】“Blind Signatures for Untraceable Payments,”D. Chaum, Advances in Cryptology Proceedings of Crypto 82, D.Chaum, R.L. Rivest, & A.T. Sherman (Eds.), Plenum, pp. 199-203.
【非特許文献2】Veronique Cortier and Bogdan Warinsci,"Computationally Sound,Automated Proofs for Security Protocols" April,2005.
【特許文献1】特許第3381858号
【発明の開示】
【発明が解決しようとする課題】
【0009】
ところで、非特許文献2には以下の定理(A)が記されている。
定理(A)「(13)参加者が記号的解析による攻撃者が構成できないような情報を無視できること。(14)記号的解析により安全であること。(13)、(14)が成り立てば、暗号学的解析によっても安全である。」
【0010】
図1記載の通信方法であれば、定理(A)の(13)を満たさない。なぜなら、例えば、図2記載のように、攻撃者装置10が管理者装置4とユーザ装置2の間に介在しており、ブラインド署名スキームとしてFDH−RSA署名を利用した場合、攻撃者装置10が、ユーザ装置2よりのsign(Udm’、m’)中のm’の平方根をとってXとすれば、管理者装置4よりのsign(Sbm’、X)からsign(Sbm’、m’)を構成できる。このような攻撃は、暗号学的攻撃者には可能であるが、平方根をとるという演算はブラインド署名スキームの演算(上記(1)〜(5))に含まれないため、記号的攻撃者には行うことができない。
【0011】
従って、この通信方法の安全性を記号的解析によって自動的に解析しても、そこから暗号学的解析による安全性を導くことができない。このため、暗号学的解析による安全性を調べるためには、暗号の専門家による注意深い解析が必要となる。
【課題を解決するための手段】
【0012】
この発明の通信方法は、ユーザ装置が、管理者装置のブラインド署名を付した送信情報を検証者装置に送信する通信方法である。ユーザ装置の撹乱部が、送信情報を乱数成分で撹乱することで、撹乱情報を生成し、ユーザ装置の送信部が、撹乱情報を管理者装置に送信する。管理者装置のブラインド署名部が、撹乱情報に管理者装置のブラインド署名を付することで、管理者第1署名撹乱情報を生成する。管理者装置の署名部が、管理者第1署名撹乱情報に管理者装置の署名を付することで、管理者第2署名撹乱情報を生成する。ユーザ装置の検証部が、管理者第2署名撹乱情報の管理者装置の署名に基づいて、ユーザ装置と管理者装置との間に介在する攻撃者装置が、記号的攻撃者がなし得ない攻撃を行った可能性があるか否かを判定する。ユーザ装置の乱数成分除去部が、攻撃者装置に攻撃されていないと判定されると、管理者第1署名撹乱情報の乱数成分の影響を除去して送信情報に対する管理者装置の署名を得て、攻撃者装置に攻撃されたと判定されると、処理を中止する。ユーザ装置の送信部が、送信情報と当該送信情報に対する管理者装置の署名を検証者装置に送信する。検証者装置の検証部が、受信した管理者装置の署名が管理者装置にされたものか否かを検証して、否と検証すると送信情報を廃棄する。攻撃者装置の攻撃は、ユーザ装置よりの撹乱情報を改ざんすることで改ざん撹乱情報を生成し、当該改ざん撹乱情報を管理者装置に送信し、当該改ざん撹乱情報に管理者装置のブラインド署名を付することで生成された改ざん管理者第1署名撹乱情報を含む情報を管理者装置から受信し、当該改ざん管理者第1署名撹乱情報中の改ざん撹乱情報を撹乱情報に変換し、改ざん撹乱情報に対する管理者装置のブラインド署名を撹乱情報に対する管理者装置のブラインド署名に変換して管理者第1署名撹乱情報を生成し、当該管理者第1署名撹乱情報を含む情報をユーザ装置に送信する攻撃である。
【発明の効果】
【0013】
上記の構成のように、管理者装置が撹乱情報にブラインド署名を付し、更に、署名を付することで、例えばユーザ装置と管理者装置との間に介在する攻撃者装置の攻撃を検出できるだけでなく、記号的解析によって暗号学的解析による安全性を導くことができ、通信方法の安全性解析の自動化が可能となった。
【発明を実施するための最良の形態】
【0014】
以下に、発明を実施するための最良の形態を示す。なお、同じ機能を持つ構成部や同じ処理を行う過程には同じ番号を付し、重複説明を省略する。
【実施例1】
【0015】
図3に、実施例1のユーザ装置100、管理者装置200、検証者装置300による通信方法を簡略化して示し、図4に、ユーザ装置100、管理者装置200、検証者装置300の機能構成例を示し、図5に処理フローを示す。ユーザ装置100は、撹乱部102、署名部104、送信部106、受信部108、検証部110、乱数成分除去部112で構成されている。管理者装置200は、受信部202、検証部204、ブラインド署名部206、署名部208、送信部210、とで構成されている。検証者装置300は、受信部302、検証部304、とで構成されている。
【0016】
まず、撹乱部102が、送信する情報mを乱数rの成分で撹乱することで、撹乱情報m’を生成する(m’=C(m、r)、ステップS2)。次に、署名部104が、撹乱情報m’についてユーザ装置100のディジタル署名Udm’を生成し(Udm’=AU(m’))、ディジタル署名Udm’を撹乱情報m’に付加して(sign(Udm’、m’)、ステップS4)、送信部106により管理者装置200に送信する。署名部104を備えず、撹乱部102よりの撹乱情報m’を管理者装置200に送信しても良い。以下の説明では、ユーザ装置100は、ディジタル署名を撹乱情報m’に付して、送信した場合を説明する。
【0017】
管理者装置200の受信部202が、ディジタル署名付き撹乱情報sign(Udm’、m’)を受信すると、検証部204は、ディジタル署名Udm’の正当性を検証する(ステップS6)。検証部204が正当でないと検証すると、処理は終了する。検証部204が正当であると検証すると、ブラインド署名部206が、撹乱情報m’に管理者装置200のブラインド署名Sbm’を生成し(Sbm’=Bb(m’))、ブラインド署名Sbm’を撹乱情報m’に付加することで、管理者第1署名撹乱情報sign(Sbm’、m’)を生成する(ステップS8)。そして、署名部208が、管理者第1署名撹乱情報sign(Sbm’、m’)に対して、管理者装置の署名(例えば、ディジタル署名)を生成する。ここで管理者装置200の情報Eに対するディジタル署名SdEの生成の式をSdE=Bd(E)とすると、管理者第1署名撹乱情報sign(Sbm’、m’)に対しての管理者装置のディジタル署名Sd(sign(Sbm’、m’))は以下のように生成される。
Sd(sign(Sbm’、m’))=Bd(sign(Sbm’、m’))
ディジタル署名Sd(sign(Sbm’、m’))は、管理者第1署名撹乱情報sign(Sbm’、m’)に付されることで、管理者第2署名撹乱情報sign(Sd(sign(Sbm’、m’))、sign(Sbm’、m’))が生成され(ステップS10)、ユーザ装置100に返信される。
【0018】
ユーザ装置100の受信部108が管理者第2署名撹乱情報sign(Sd(sign(Sbm’、m’))、sign(Sb、m’)を受信すると、検証部110がディジタル署名Sd(sign(Sbm’、m’))に基づいて、正当か否かを検証する。
ここで、図2に示したように、暗号的攻撃者の攻撃者装置10が管理者装置4とユーザ装置2との間に介在する場合を考える。攻撃者装置10の攻撃は以下の通りである。まず、ユーザ装置100よりの撹乱情報m’を改ざんする(例えば、平方根をとる)ことで改ざん撹乱情報Xを生成し、当該改ざん撹乱情報Xを管理者装置200に送信する。そして、攻撃者装置10は、当該改ざん撹乱情報Xに管理者装置200のブラインド署名Sbxを付することで生成された改ざん管理者第1署名撹乱情報sign(Sbx、X)を含む情報を管理者装置200から受信する。そして、攻撃者装置10は、受信した当該改ざん管理者第1署名撹乱情報sign(Sbx、X)中の改ざん撹乱情報Xを撹乱情報m’に変換し、改ざん撹乱情報Xに対する管理者装置200のブラインド署名Sbxを撹乱情報m’に対する管理者装置200のブラインド署名Sbm’に変換して管理者第1署名撹乱情報sign(Sbm’、m’)を生成し、当該管理者第1署名撹乱情報sign(Sbm’、m’)を含む情報をユーザ装置100に送信する。
【0019】
検証部110が正当でないと検証すれば、攻撃者装置10が攻撃したということである。従って、検証部110の検証は、ユーザ装置100と管理者装置200との間に介在する攻撃者装置10に攻撃された否かを判定するものであるといえる(ステップS12)。同時に、攻撃者装置10の攻撃が記号的攻撃者が成し得ない攻撃を行った可能性があるか否かを判定するともいえる。そして、攻撃者装置10に攻撃されたと判定すれば、その後の処理を終了させる。検証部110がこのような判定を行えば、記号的解析による攻撃者が構成できないような情報を無視できるので、上記定理(A)の(13)を満たし、結果として、定理(A)を適用できる。従って、暗号的攻撃者を考慮したとしても、安全性解析を自動化することができることになる。
【0020】
検証部110の検証により、攻撃者装置に攻撃されていないと検証されると、乱数成分除去部112が、管理者第1署名撹乱情報sign(Sbm’、m’)から乱数rの成分を除去して、情報mに対する署名Sbmを得る(ステップS14)。そして、情報mと情報mに対する管理者装置200の署名Sbmを検証者装置300に送信する。
検証者装置300の受信部302が、情報mと署名Sbmを受信すると、検証部304が、署名Sbmが、管理者装置200の署名であるか否かを検証し(ステップS16)、検証が正当であれば、検証者装置300は、情報mを取得する(ステップS18)。検証が失当であれば、情報mを破棄する。
【0021】
従来の通信方法(図1参照)とこの実施例1の通信方法(図3参照)を比較すると、従来では管理者装置4がsign(Sbm’、m’)にディジタル署名を付していないが、この実施例では管理者装置4がsign(Sbm’、m’)にディジタル署名を付しているだけの差しかないように思える。しかし、管理者装置4がディジタル署名を付することで、ディジタル署名付加の効果(ユーザ装置100と管理者装置200との間での改ざん防止)だけでなく、上記定理(A)を適用できるので、記号的解析によって暗号学的解析を導くことができるようになり、方法の安全性解析を自動化ができるという有利な効果を得ることができる。
【実施例2】
【0022】
この実施例2では、攻撃者装置10が、図2のような攻撃を行う場合は、管理者装置200よりのsign(Sbm’、X)と、攻撃者装置10よりのsign(Sbm’、m’)とを比較すると、大きく変わっている可能性が高い。この場合は、管理者第1署名撹乱情報sign(Sbm’、m’)全体についてディジタル署名を付さなくても、sign(Sbm’、m’)の任意の一部(以下、「署名対象ビット」という。)だけについてディジタル署名を生成し、付加させればよい。このようにすれば、ディジタル署名生成の計算コストが削減される。この場合に、管理者装置200は、ユーザ装置100に署名対象ビットの情報(ディジタル署名を生成したビット位置)も送信しなければならない。署名対象ビットに関する情報の送信方法については、公知の技術である公開鍵暗号方式やワンタイムパッドを用いれば良い。また、署名対象ビットのビット数が1の場合は、この方法であると、攻撃を検証できる確率は50%になるが、署名対象ビットのビット数が大きくなるにつれて、攻撃を検証できる確率はあがっていく。従って、署名対象ビットのビット数が2以上の場合は、ビット数が1の場合と比較して、より高確率で攻撃されたか否かを検証できる。
【実施例3】
【0023】
図2に示した攻撃者装置10の攻撃方法では、上述のように、管理者装置200よりのsign(Sb、X)と、攻撃者装置10よりのsign(Sb、m’)とが大きく変わっている場合がある。実施例2では、管理者装置200の署名部208は、管理者第1署名撹乱情報sign(Sb、m’)の署名対象ビットについて、署名を生成する構成を説明したが、実施例3では、管理者第1署名撹乱情報sign(Sb、m’)が有する有効ビット数(以下で説明する)について署名を生成し、付加する。
図6に示すように、例えば、管理者第1署名撹乱情報sign(Sb、m’)が128ビットである場合に、この128ビット中で、最下位ビット0ビット目から1が位置する最上位ビット目(図6の例では116ビット)までのビット数(以下、有効ビット数という)について、署名を生成し、管理者第1署名撹乱情報sign(Sb、m’)に付加する。このようにすることで、管理者第1署名撹乱情報sign(Sb、m’)の署名作成の計算コストを削減できる。
【0024】
[変形例]
この発明の通信方法の適用例として様々な例が考えられるが、この変形例では、電子投票にこの発明の通信方法を適用した場合を説明する。ユーザ装置100を投票者が使用する投票者装置とし、管理者装置200を選挙管理人が使用する選挙管理者装置とし、検証者装置300を、投票数を集計する集計者が使用する集計者装置とする。そして、情報mを投票内容とする。このようにすれば、本発明の通信方法を電子投票プロトコルとして実施できる。詳細は上記特許文献1を参照されたい。このように電子投票プロトコルとして適用しても、記号的解析によって暗号学的解析を導くことができるようになり、プロトコルの安全性解析を自動化ができるという有利な効果を得ることができる。
【0025】
また、図4記載のように、ユーザ装置100がメモリ112、制御部114を具備し、管理者装置200がメモリ212、制御部214を具備し、検証者装置300がメモリ306、制御部308を具備し、各部の処理を制御部が制御し、各部で生成された情報をメモリに一旦保存させ、処理を行っても良い。また、ユーザ装置100、管理者装置200、検証者装置300における処理機能をコンピュータによって実現する場合、これらの装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、これらの装置における処理機能がコンピュータ上で実現される。
【図面の簡単な説明】
【0026】
【図1】従来の通信方法を簡略化して示した図。
【図2】通信方法に攻撃者装置が介在している場合を示した図。
【図3】実施例1の通信方法を簡略化して示した図。
【図4】ユーザ装置などの機能構成例を示した図。
【図5】実施例1の通信方法の主な処理の流れを示した図。
【図6】有効ビットを説明するための図。
【特許請求の範囲】
【請求項1】
ユーザ装置が、管理者装置のブラインド署名を付した送信情報を検証者装置に送信する通信方法であって、
前記ユーザ装置の撹乱部が、前記送信情報を乱数成分で撹乱することで、撹乱情報を生成するユーザ撹乱過程と、
前記ユーザ装置の送信部が、前記撹乱情報を管理者装置に送信するユーザ送信過程と、
前記管理者装置のブラインド署名部が、前記撹乱情報に管理者装置のブラインド署名を付することで、管理者第1署名撹乱情報を生成する管理者第1署名過程と、
前記管理者装置の署名部が、前記管理者第1署名撹乱情報に管理者装置の署名を付することで、管理者第2署名撹乱情報を生成する管理者第2署名過程と、
前記ユーザ装置の検証部が、前記管理者第2署名撹乱情報の前記管理者装置の署名に基づいて、前記ユーザ装置と前記管理者装置との間に介在する攻撃者装置が、記号的攻撃者がなし得ない攻撃を行った可能性があるか否かを判定するユーザ検証過程と、
前記ユーザ装置の乱数成分除去部が、前記ユーザ検証過程において前記攻撃者装置に攻撃されていないと判定されると、前記管理者第1署名撹乱情報の前記乱数成分の影響を除去して前記送信情報に対する前記管理者装置の署名を得て、前記ユーザ検証過程において前記攻撃者装置に攻撃されたと判定されると、処理を中止する乱数成分除去過程と、
前記ユーザ装置の送信部が、前記送信情報と当該送信情報に対する前記管理者装置の署名を前記検証者装置に送信するユーザ送信過程と、
前記検証者装置の検証部が、受信した管理者装置の署名が前記管理者装置にされたものか否かを検証して、否と検証すると前記送信情報を廃棄する検証者検証過程と、を有し、
前記攻撃は、前記ユーザ装置よりの前記撹乱情報を改ざんすることで改ざん撹乱情報を生成し、当該改ざん撹乱情報を前記管理者装置に送信し、当該改ざん撹乱情報に管理者装置のブラインド署名を付することで生成された改ざん管理者第1署名撹乱情報を含む情報を前記管理者装置から受信し、当該改ざん管理者第1署名撹乱情報中の前記改ざん撹乱情報を前記撹乱情報に変換し、前記改ざん撹乱情報に対する前記管理者装置のブラインド署名を前記撹乱情報に対する前記管理者装置のブラインド署名に変換して前記管理者第1署名撹乱情報を生成し、当該管理者第1署名撹乱情報を含む情報を前記ユーザ装置に送信する攻撃であることを特徴とする通信方法。
【請求項2】
請求項1記載の通信方法において、
前記管理者第2署名過程は、
前記管理者の署名部が、前記管理者第1署名撹乱情報中の任意の一部のビット(以下、「署名対象ビット」という。)についての署名を生成する過程を含むことを特徴とする通信方法。
【請求項3】
請求項2記載の通信方法において、
前記署名対象ビットが2ビット以上であることを特徴とする通信方法。
【請求項4】
請求項1〜3記載の通信方法において、
前記管理者第2署名過程は、
前記管理者の署名部が、前記管理者第1署名撹乱情報中の最下位ビットから1が位置する最上位ビットまでのビット数についての署名を生成過程を含むことを特徴とする通信方法。
【請求項5】
ユーザ装置よりの撹乱情報にブラインド署名を付することで、管理者第1署名撹乱情報を生成するブラインド署名部と、
前記管理者第1署名撹乱情報に署名を付することで、管理者第2署名撹乱情報を生成する署名部と、
前記管理者第2署名撹乱情報を前記ユーザ装置に送信する送信部と、を有する管理者装置。
【請求項6】
送信する送信情報を乱数成分で撹乱することで、撹乱情報を生成する撹乱部と、
管理者装置よりの管理者第2署名撹乱情報の前記管理者装置の署名に基づいて、前記管理者装置との間に介在する攻撃者装置が、記号的攻撃者がなし得ない攻撃を行った可能性があるか否かを検証する検証部と、
前記検証部が攻撃者装置に攻撃されていないと判定すると、管理者第1撹乱情報の乱数成分の影響を除去して前記送新情報に対する前記管理者装置の署名を得て、前記検証部が攻撃者装置に攻撃されたと判定すると、処理を中止する乱数成分除去部と、を備えるユーザ装置。
【請求項7】
請求項5記載の管理者装置または請求項6記載のユーザ装置の各部としてコンピュータを機能させるためのプログラム。
【請求項1】
ユーザ装置が、管理者装置のブラインド署名を付した送信情報を検証者装置に送信する通信方法であって、
前記ユーザ装置の撹乱部が、前記送信情報を乱数成分で撹乱することで、撹乱情報を生成するユーザ撹乱過程と、
前記ユーザ装置の送信部が、前記撹乱情報を管理者装置に送信するユーザ送信過程と、
前記管理者装置のブラインド署名部が、前記撹乱情報に管理者装置のブラインド署名を付することで、管理者第1署名撹乱情報を生成する管理者第1署名過程と、
前記管理者装置の署名部が、前記管理者第1署名撹乱情報に管理者装置の署名を付することで、管理者第2署名撹乱情報を生成する管理者第2署名過程と、
前記ユーザ装置の検証部が、前記管理者第2署名撹乱情報の前記管理者装置の署名に基づいて、前記ユーザ装置と前記管理者装置との間に介在する攻撃者装置が、記号的攻撃者がなし得ない攻撃を行った可能性があるか否かを判定するユーザ検証過程と、
前記ユーザ装置の乱数成分除去部が、前記ユーザ検証過程において前記攻撃者装置に攻撃されていないと判定されると、前記管理者第1署名撹乱情報の前記乱数成分の影響を除去して前記送信情報に対する前記管理者装置の署名を得て、前記ユーザ検証過程において前記攻撃者装置に攻撃されたと判定されると、処理を中止する乱数成分除去過程と、
前記ユーザ装置の送信部が、前記送信情報と当該送信情報に対する前記管理者装置の署名を前記検証者装置に送信するユーザ送信過程と、
前記検証者装置の検証部が、受信した管理者装置の署名が前記管理者装置にされたものか否かを検証して、否と検証すると前記送信情報を廃棄する検証者検証過程と、を有し、
前記攻撃は、前記ユーザ装置よりの前記撹乱情報を改ざんすることで改ざん撹乱情報を生成し、当該改ざん撹乱情報を前記管理者装置に送信し、当該改ざん撹乱情報に管理者装置のブラインド署名を付することで生成された改ざん管理者第1署名撹乱情報を含む情報を前記管理者装置から受信し、当該改ざん管理者第1署名撹乱情報中の前記改ざん撹乱情報を前記撹乱情報に変換し、前記改ざん撹乱情報に対する前記管理者装置のブラインド署名を前記撹乱情報に対する前記管理者装置のブラインド署名に変換して前記管理者第1署名撹乱情報を生成し、当該管理者第1署名撹乱情報を含む情報を前記ユーザ装置に送信する攻撃であることを特徴とする通信方法。
【請求項2】
請求項1記載の通信方法において、
前記管理者第2署名過程は、
前記管理者の署名部が、前記管理者第1署名撹乱情報中の任意の一部のビット(以下、「署名対象ビット」という。)についての署名を生成する過程を含むことを特徴とする通信方法。
【請求項3】
請求項2記載の通信方法において、
前記署名対象ビットが2ビット以上であることを特徴とする通信方法。
【請求項4】
請求項1〜3記載の通信方法において、
前記管理者第2署名過程は、
前記管理者の署名部が、前記管理者第1署名撹乱情報中の最下位ビットから1が位置する最上位ビットまでのビット数についての署名を生成過程を含むことを特徴とする通信方法。
【請求項5】
ユーザ装置よりの撹乱情報にブラインド署名を付することで、管理者第1署名撹乱情報を生成するブラインド署名部と、
前記管理者第1署名撹乱情報に署名を付することで、管理者第2署名撹乱情報を生成する署名部と、
前記管理者第2署名撹乱情報を前記ユーザ装置に送信する送信部と、を有する管理者装置。
【請求項6】
送信する送信情報を乱数成分で撹乱することで、撹乱情報を生成する撹乱部と、
管理者装置よりの管理者第2署名撹乱情報の前記管理者装置の署名に基づいて、前記管理者装置との間に介在する攻撃者装置が、記号的攻撃者がなし得ない攻撃を行った可能性があるか否かを検証する検証部と、
前記検証部が攻撃者装置に攻撃されていないと判定すると、管理者第1撹乱情報の乱数成分の影響を除去して前記送新情報に対する前記管理者装置の署名を得て、前記検証部が攻撃者装置に攻撃されたと判定すると、処理を中止する乱数成分除去部と、を備えるユーザ装置。
【請求項7】
請求項5記載の管理者装置または請求項6記載のユーザ装置の各部としてコンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2009−124267(P2009−124267A)
【公開日】平成21年6月4日(2009.6.4)
【国際特許分類】
【出願番号】特願2007−293672(P2007−293672)
【出願日】平成19年11月12日(2007.11.12)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り ・発行者名 日本応用数理学会 ・刊行物名 日本応用数理学会2007年度年会講演予稿集 ・巻数,号数 ISSN 1345−3378 ・発行年月日 2007年9月
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成21年6月4日(2009.6.4)
【国際特許分類】
【出願日】平成19年11月12日(2007.11.12)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り ・発行者名 日本応用数理学会 ・刊行物名 日本応用数理学会2007年度年会講演予稿集 ・巻数,号数 ISSN 1345−3378 ・発行年月日 2007年9月
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]